Mark
Mark Fiedel, vicedirektør for Center for Cybersikkerhed.t

Hackere tager det på hylderne, som de har adgang til, og netop AI er noget af det, der er kommet på hylderne nu. 

Sådan konstaterer Mark Fiedel, der er vicedirektør for Center for Cybersikkerhed.

Blandt andet kan generativ AI hjælpe de cyberkriminelle med at oversætte korrekt til et andet sprog.

- Hvor det før var svært for folk i udlandet at lave en velformuleret phishingmail, kan de nu få ChatGPT eller et andet program baseret på avancerede sprogmodeller til at oversætte den til korrekt dansk. På den måde sænker AI barren for, hvilke kundskaber der skal til, fortæller Jacob Herbst, der er medlem af Cybersikkerhedsrådet og teknisk chef i IT-sikkerhedsfirmaet Dubex.

Det giver færre spøjse formuleringer og færre gennemskuelige grammatiske fejl.

Samtidig kan hackeren også fodre AI-programmerne med informationer om virksomheder og ansatte og på den måde lave et mere skræddersyet og overbevisende phishing-produkt.

- Det, den spytter ud, er kun lige så godt som det input, den får. Men der er jo utroligt store mængder information på nettet. Du kan sagtens google dig til, hvor mange medarbejdere der er i en virksomhed, og hvordan ledelsen ser ud. Det er den type af information, man kan fodre sin AI-model med, forklarer Mark Fiedel og fortsætter: - Det gør desværre, at man nemt kan producere noget, der ser godt, lækkert og modtagerrettet ud.

I kontrast til de skræddersyede phishingangreb vil mange måske huske mailen fra den nigerianske prins, der har fundet en skat, han gerne vil dele med dig. Nu vil man snarere se en anmodning om at ændre password til et system, din virksomhed angiveligt bruger.

Jacob Herbst
Jacob Herbst, teknisk chef i IT-sikkerhedsfirmaet Dubex.

Uden AI ville man ifølge Jacob Herbst også kunne indsamle information om sit offer, men det tager længere tid og kræver en større indsats.

- Det er meget nemmere med AI, og derfor kan de cyberkriminelle øge mængden af de angreb, de er i stand til at fabrikere og målrette dem meget bedre, siger han.

En amerikansk undersøgelse fra 2024 viser, at hackere kan reducere deres omkostninger med mere end 95 % og opnå samme succesrate, hvis de automatiserer hele processen med generativ AI. I en videnskabelig artikel kalder forskerne det et bekymrende fund.

Skærp din opmærksomhed

Det lyder dystert. Spørger man Center for Cybersikkerhed, om det ændrer trusselsbilledet, er svaret dog nej. Forklaringen er, at der i forvejen er et ”ekstremt højt” aktivitetsniveau blandt hackere, der laver phishingangreb, fortæller Mark Fiedel og uddyber, at det allerede er en omkostningseffektiv forretning for dem.

- Hvis man rullede AI-delen tilbage, ville der stadig være en høj trussel fra phishingangreb. Den kunstige intelligens effektiviserer bare den måde, de kriminelle arbejder på, og gør afstanden fra en spirende hackerkandidat til en, der rent faktisk hacker, kortere, siger Mark Fiedel, der er vicedirektør for Center for Cybersikkerhed.

Og eksperterne er dog stadig enige i, at phishingangreb mod medarbejdere og virksomheder langtfra er på retræte - tværtimod skal vi forvente at se flere af dem.

Læs også: Så let er det at få AI til at udforme en phishingmail

Hvad skal vi så stille op?

En lille del af svaret er, at vi skal minde os selv om, at vi trods alt bliver dygtigere og dygtigere til at beskytte os selv.

En større del af svaret er, at vi skal minde os selv om at være opmærksomme - endnu engang og endnu mere. Både som organisation og som medarbejder.

Når phishinghackere gang på gang går efter medarbejderen i en virksomhed, udnytter de, at der sidder et menneske, som har travlt og som ikke altid kan gennemskue, at der er tale om svindel.

Derfor er det vigtigt, at man som medarbejder betragter sig selv som en del af virksomhedens sikkerhedssystem, mener it-sikkerhedsekspert Jacob Herbst.

- Selvfølgelig kan man gøre mange ting som virksomhed. Men det nytter ikke ret meget at sætte lås på døren, hvis medarbejderne alligevel kan narres til at låse folk ind, siger Jacob Herbst.

Hvad er phishing?

Ordet phishing beskriver oprindeligt et forsøg på at ”fiske” information, for eksempel login- eller kreditkortoplysninger, ved at lokke dig ind på en falsk hjemmeside. I dag bruges ordet mere i flæng til at beskrive flere former for svindelforsøg gennem falske mails eller sms’er. Det kan være fakturasvindel, hvor en falsk leverandør beder dig betale en faktura, uden du har modtaget nogen vare. Det kan også være CEO-fraud, hvor svindleren udgiver sig for at være din direktør eller leder, og hvor du måske bliver bedt om at skynde dig at overføre nogle penge til en bestemt konto. Phishing foregår via mail, mens smishing foregår via sms.

Kilde: Medlem af Cybersikkerhedsrådet Jacob Herbst og Sikker Digital.

 

2 råd til din organisation og ledelse

  1. Det er vigtigt at indskærpe over for alle medarbejdere og ledelsen, at de skal have sat sig ind i de politikker og arbejdsgange, virksomheden har, hvis man mistænker at have modtaget noget eller mistænker, at man rent faktisk har klikket på en phishingmail. Det er ledelsens ansvar, at der findes politikker og procedurer, og de kan ses som en del af det forebyggende arbejde.

  2. Hav en beredskabsplan. De fleste ved, at der hænger plakater rundt omkring, der fortæller, hvad man skal gøre, hvis brandalarmen går. Men i det tilfælde at man bliver udsat for phishing, har man så styr på, hvad der skal ske? Beredskabsplanen kommer i spil, når der er sket noget. Alle i virksomheden må også gerne sørge for at stille spørgsmål til det: Hvad er det, vi skal gøre? Hvornår skal vi reagere? Det er sundt at have som et fælles opmærksomhedspunkt.

    Kilde: Mark Fiedel, vicedirektør for Center for Cybersikkerhed

 

3 råd til dig som medarbejder

  1. Vær opmærksom på, hvad der sker, på samme måde som du er opmærksom ude i den virkelige verden. Du holder formentlig øje med, om der er en lommetyv, hvis du går på en tætpakket gade i udlandet, og om nogen aflurer din pinkode, mens du taster den i supermarkedet. Hav også sund fornuft og skepsis i den digitale verden. Vær skeptisk over for mails, der fx beder dig udlevere oplysninger, og ekstra skeptisk, hvis teksten virker maskinoversat, og der er mange stavefejl. Og tryk aldrig på links i mistænkelige mails - svindlere vedhæfter ofte falske links, der lukker virus ind i firmaets IT-systemer.

  2. Kontroller tingene, hvis du er i tvivl - måske mere end du ellers har været tilbøjelig til. Især i de situationer, hvor noget afviger fra normalen. Det kan være, hvis du er vant til at betale til ét kontonummer, og du lige pludselig bliver bedt om at overføre til et andet. Her kan du fx tjekke afsenderens mailadresse. Og/eller tage dig tid til at ringe til afsenderen og få telefonisk bekræftelse.

  3. Hold øje med de normale advarselssignaler. Det bliver sværere at gennemskue phishing, men på mange punkter er vi trods alt stadig på et niveau, hvor man godt kan se, at der er ugler i mosen. Meget phishing vil stadig komme fra spøjse email-adresser, linke til en mærkelig hjemmeside eller lignende.

    Kilde: Medlem af Cybersikkerhedsrådet Jacob Herbst og Sikker Digital